Dữ liệu độc hại có thể thay đổi hành vi của mô hình AI theo hướng lệch lạc. Ảnh: Barracuda
Theo Wiz, đầu độc dữ liệu là một loại tấn công nhắm vào tập dữ liệu huấn luyện của mô hình trí tuệ nhân tạo (AI) và học máy (ML) để làm suy giảm hoặc kiểm soát hành vi của mô hình. Kẻ tấn công tìm cách đưa thông tin sai lệch hoặc không chính xác vào tập dữ liệu huấn luyện bằng cách thêm dữ liệu mới, thay đổi dữ liệu hiện có, hoặc thậm chí xóa một phần dữ liệu để tác động tới hiểu biết của mô hình. Các ngành dựa nhiều vào AI như tài chính, chăm sóc sức khỏe và hệ thống tự động là mục tiêu chính của tấn công đầu độc dữ liệu.
Chẳng hạn, ở nhà ga xe lửa bận rộn, camera giám sát mọi thứ, từ mức độ sạch sẽ của sàn nhà đến tình trạng bến đỗ có trống hay không. Những camera cung cấp dữ liệu cho hệ thống AI quản lý hoạt động của nhà ga và gửi tín hiệu cho đoàn tàu đang đến, cho biết khi nào chúng có thể vào ga. Chất lượng thông tin mà AI cung cấp phụ thuộc vào chất lượng dữ liệu mà nó học được.
Kẻ tấn công có thể sử dụng laser đỏ để lừa camera quyết định khi nào tàu đến. Mỗi lần laser nhấp nháy, hệ thống hiểu sai rằng bến đỗ không còn trống vì laser rất giống đèn phanh trên tàu. AI có thể coi đây là tín hiệu hợp lệ và trì hoãn các đoàn tàu sắp đến khác. Cuộc tấn công liên quan đến trạng thái của đường ray tàu như vậy có thể dẫn đến hậu quả chết người. Dù tấn công đầu độc dữ liệu liên quan tới cơ sở hạ tầng rất hiếm gặp, đó là một mối lo ngại lớn đối với hệ thống trực tuyến, hỗ trợ bởi mô hình ngôn ngữ lớn huấn luyện trên mạng xã hội và nội dung web.
Một ví dụ nổi tiếng về tấn công đầu độc dữ liệu trong lĩnh vực khoa học máy tính xảy ra năm 2016, khi Microsoft ra mắt chatbot Tay. Chỉ sau khi ra mắt vài giờ, người dùng mạng đưa cho chatbot hàng loạt bình luận không phù hợp và Tay nhanh chóng bắt chước các thuật ngữ đó, khiến hàng triệu người sợ hãi. Trong vòng 24 giờ, Microsoft buộc phải vô hiệu hóa công cụ và xin lỗi công khai. Vụ việc cho thấy mức độ mà tấn công đầu độc dữ liệu có thể làm hỏng hoặc phá hủy công nghệ và mục đích sử dụng ban đầu.
Theo Conversation, một số cơ chế có thể giúp phát hiện các cuộc tấn công độc hại trước khi chúng trở nên quá mạnh. Tại phòng thí nghiệm của Đại học Quốc tế Florida, M. Hadi Amini, phó giáo sư ngành Máy tính và Khoa học thông tin, cùng cộng sự đang làm việc để chống lại tấn công đầu độc dữ liệu bằng cách tập trung vào xây dựng công nghệ. Một phương pháp gọi là học liên kết cho phép mô hình AI học từ nguồn dữ liệu phi tập trung mà không cần thu thập dữ liệu thô tại một nơi.
Các hệ thống tập trung có một lỗ hổng bảo mật, nhưng hệ thống phi tập trung không thể bị phá sập thông qua điểm yếu duy nhất. Học liên kết cung cấp lớp bảo vệ hữu hiệu vì dữ liệu bị đầu độc từ một thiết bị không ảnh hưởng ngay lập tức đến mô hình tổng thể. Tuy nhiên, thiệt hại vẫn có thể xảy ra nếu quá trình mà mô hình sử dụng để tổng hợp dữ liệu bị xâm phạm.
Một giải pháp khác là ứng dụng blockchain. Blockchain là sổ cái kỹ thuật số không thể thay đổi để ghi lại giao dịch và theo dõi tài sản. Blockchain cung cấp những ghi chép bảo mật và minh bạch về cách chia sẻ và xác minh dữ liệu. Hệ thống AI với quá trình huấn luyện được bảo vệ bằng blockchain có thể xác thực cập nhật và xác định dấu hiệu bất thường hé lộ tấn công đầu độc dữ liệu trước khi lan rộng.
Blockchain cũng có cấu trúc được đánh dấu thời gian cho phép truy tìm nguồn gốc thông tin đầu vào, giúp dễ dàng khắc phục thiệt hại và tăng cường bảo vệ trong tương lai. Blockchain cũng có khả năng tương tác, nếu một mạng phát hiện mẫu dữ liệu bị đầu độc, nó có thể gửi cảnh báo cho các mạng khác.
Những nhà nghiên cứu cũng có thể sử dụng bộ lọc rà soát trước để kiểm tra dữ liệu trước khi đưa vào huấn luyện hoặc huấn luyện hệ thống học máy để chúng nhạy cảm hơn với nguy cơ tấn công mạng.
An Khang (Theo Conversation, Wiz)